2022 Black Hat güvenlik konferansının açılış konuşmasında, eski Ulusal Menkul Kıymetler Departmanı siber güvenlik direktörü Chris Krebs, güvenliğin iyileşmeden önce daha da kötüleşeceğini belirtti. Neden? Niye? Krebs, “güvenli olmayan ürünlerin faydaları dezavantajlarından çok daha ağır bastığı için yazılımın savunmasız kaldığını” söyledi. Güvenliği sağlamak yerine, yazılım geliştirme yaşam döngüsü (SDLC) boyunca odak noktası, pazardaki rekabeti alt etmektir. Aslında, yenilik genellikle güvenlikle çelişir – ilkinin hızlı ve üretken olduğuna inanılırken, ikincisi hızlı hareket eden uygulama geliştirmeyi engelleyen bir barikattır. Bu görüş, mevcut tehdit ortamında modası geçmiş olduğunu kanıtlıyor.
Siber saldırıların artmasıyla birlikte, yazılım tedarik zinciri, güvenli olmayan koda bulaşırken neden oldukları büyük kesintiyi fark eden siber suçlular için popüler bir hedeftir. Örneğin, artık kötü şöhretli Log4Shell güvenlik açığı, açık kaynaklı Log4j’nin dünya çapında yazılım uygulamaları ve çevrimiçi hizmetlerde çok yaygın olarak kullanılması ve güvenlik açığından yararlanmak için çok az uzmanlık gerektirmesi nedeniyle böyle bir risk oluşturuyordu. Daha yakın zamanlarda, 25.000 kötü amaçlı eklenti WordPress sitelerinde bulunanlar, web sitelerinde güvenli uygulamalar ve programlar kullandıklarına inanmalarına rağmen birçok işletmenin karşılaştığı siber güvenlik riskini vurgulamaktadır.
Yenilik ve güvenlik bu nedenle tek bir mercekten görülmelidir; biri olmadan diğeri mümkün değildir. Daha da önemlisi, güvenlik artık tek bir sessiz ekibin sorumluluğunda olamaz. SDLC’deki herkes için bir öncelik olmalıdır.
AppSec İkilemi
Uygulama geliştirmeye yönelik artan yatırıma rağmen, aynı önem güvenliğe uygulanmıyor. Böyle bir rekabet ortamında, ilk harekete geçenler ödülü alma eğilimindedir. Pazara “ilk uygulanabilir ürünü” ile girenler, muhtemelen bu ürünün güvenli bir şekilde nasıl kullanılabileceğine değil, müşterilere nasıl hizmet edebileceğine bakıyorlar. Bu yüksek beklentilerle birlikte geliştiricilere yönelik kod talepleri arttı. 100 kere %92’si daha hızlı kod yazmak için baskı hissediyor. Bunu şu gerçekle eşleştirin: %53 profesyonel güvenli kodlama eğitimine sahip değilken, içindeki yeni güvenlik açıklarının sayısı NIST Ulusal Güvenlik Açığı Veritabanı son birkaç yılda %200’den fazla arttı ve görünüşe göre bir uygulama güvenliği ikileminin içindeyiz.
Ancak, çözülemeyecek bir ikilem değildir. Çözüm, insanların zihniyetine özel bir şekilde odaklanarak, pek çok kişinin kodlama ve yeniliği görme biçiminde tam bir geçiş gerektirir. Güvenliği ilk sıraya koyar ve son ürün daha güvenliyse pazara sunmanın daha yavaş olmasının normal olduğunu bilir. Göre boehm yasası“bir kusuru bulma ve düzeltme maliyeti zamanla katlanarak artar” – güvenliğe en baştan öncelik veren kuruluşların en alt satırına fayda sağlayabilecek bir kavram.
Bu güvenlik öncelikli zihniyeti oluşturmak, yalnızca geliştirme ekibi için değil, SDLC’de rol oynayan herkes için çok önemlidir. Ürün ve proje yöneticileri, DevOps, kullanıcı deneyimi (UX) tasarımcıları ve kalite güvencesi (QA) uzmanlarının tümü nihai sonucu etkileyecektir ve bu nedenle uygulama güvenliği için mevcut ikilemi ve bu zorluğun nasıl üstesinden gelinebileceğini anlamaları gerekir.
Entegre Eğitimi Doğru Almak
Takımlar anlamıyorsa Niye güvenlik öncelikli bir zihniyet, uygulama geliştirmede çok önemlidir, asla satın almayacaklardır. nasıl başarılabilir. Tüm geliştirme organizasyonu için entegre ve sürekli uygulama güvenliği eğitimi bu nedenle hiç bu kadar önemli olmamıştı. Kodu oluşturanlar için, günlük olarak karşılaştıkları sorunlara doğrudan değinen uygulamalı alıştırmalardan önce temel öğrenimi sağlamak önemlidir. Bu geliştiriciye özel eğitim, SDLC’de uygulamalı uzmanlığa ihtiyaç duymayabilecek rollere sahip kişiler için temel ve gelişmiş uygulama güvenliği eğitim programlarıyla paralel olarak yürütülmelidir. Bu tür girişimler, tüm ekibin farklı düşünmesini, daha bilinçli kararlar vermesini ve güvenliği geliştirmenin her yönüne entegre etmesini sağlayacaktır.
Yine de kuruluşların uygulama güvenliğinin sürekli olarak geliştiğini ve değiştiğini anlamaları önemlidir. Geliştirme döngüsünün her adımında temel AppSec ilkelerini uygulayan güvenlik odaklı bir ekip oluşturmak, “tek ve bitmiş” bir eğitim programıyla gerçekleştirilemez. Ekiplerin önce güvenlik anlayışını sürdürmesini sağlamak için sürekli ve gelişen bir eğitim programı çok önemlidir.
Birçok kuruluş, ekip genelinde güvenlik davranışında bir değişime öncülük eden güvenlik şampiyonlarını tanıyarak ve kutlayarak ekiplerle etkileşime girer. Günlük işlerinde sürekli olarak en iyi güvenlik uygulamalarını uygulayanlara teşvikler veya ödüller sunarak, şampiyonları başkalarıyla ilişki kurmaya ve değişimi organik olarak etkilemeye teşvik ederler. Örneğin, eğitim programlarından önce ve sonra bir koddaki güvenlik açıklarının sayısı gibi sonuçları ölçerek ve başarıyı kabul ederek, yönetim kurulundan destek almak ve karar vericilere güvenli kodlama eğitimine yapılan yatırımı haklı çıkarmak çok daha kolaydır. .
SDLC çalışanları güvenliği birinci öncelik haline getirdiğinde, hızlı yenilik yapmak ve pazardaki rekabeti yenmek ve aynı zamanda güvenliği ilk sıraya koymak mümkündür. Aslında, güvenlik açıklarının sayısı arttıkça ve siber saldırılar yavaşlama belirtisi göstermediğinden, herhangi bir uygulamanın başarılı olması için güvenli kodlama bir zorunluluktur. SDLC’nin tamamı sürekli, ısmarlama ve ölçülebilir eğitim girişimlerinde düşünüldüğü sürece güvenlik, Sahip olmak daha iyi olmadan önce daha da kötüleşmek için.